实验4使用IPSec提升网络安全Word文档下载推荐.docx

1、在网络层上执行的IPSec保护TCP/IP协议簇中所有IP和更高层的协议，如TCP、UDP、ICMP，甚至保护在IP层上发送通信的自定义协议。保护此层信息的主要好处是所有使用IP传输数据的应用程序和服务均可以使用IPSec保护，而不必修改这些应用程序和服务。旧版的Windows（Windows server 2003之前）在安装完毕后，系统会有默认策略：1、Client（Respond Only）2、Server（Request Security）3、Secure Server（Require Security）你可以指派这些策略，但更多时候需要自己去创建策略，来实现IP的安全。自Window

2、s server 2008/vista之后，微软在防火墙中集成了IPSec，借以大幅度提升Windows主机的网络功能安全性。但在与旧版Windows操作系统混合的环境中使用IPSec，其IP安全策略必须要通过“IP安全策略”工具进行设置，“IP安全策略”工具的使用必须要经过启用微软管理控制台（Microsoft Management Console，MMC），或者通过“本地安全策略”，来设置“IP安全策略”来完成。在“IP安全策略”工具中同时可以建立多个IP安全策略，不过在同一时间中，仅能有一个IP安全策略被启用。因此在设置IP安全策略时，大多会将所需的功能集中在同一个原则中，并且借助建立不

3、同的规则来完成。4 实验任务1、配置“ping策略”，内容为不允许任何计算机ping服务器本机，在命令行下进行测试，比较指派策略和不指派策略的结果。2、配置“端口策略”，内容为阻止139端口，互相访问对方的默认共享，比较指派策略和不指派策略的结果。3、配置“加密数据策略”，内容为对ping的数据包进行加密，比较指派策略和不指派策略的结果。5 实验步骤以下设置假定是包含Windows的旧版本之间的IPSec设置。1、配置“ping策略”（1）Windows Server2008 R2上没有指派防止ping策略，同时防火墙也是关闭的。验证客户机XP可以ping通Windows Server 200

4、8 R2主机。（2）通过“管理工具”的“本地安全策略”，设置防止ping策略。步骤为：第一步：进入“管理IP筛选器表和筛选器操作”，如图1所示。图1 配置管理IP筛选器和筛选器操作第二步，在“管理IP筛选器列表”中选择“添加”，给IP筛选器命名为About Ping，设置源IP地址为“任意IP地址”和目的IP地址为“我的IP地址”，协议为ICMP，完成后如图2所示。图2 设置“管理IP筛选器列表”对话框示意图第三步，设置“管理筛选器操作”，通过“添加”设置“筛选器操作”，命名为“no”，安全方法选择“阻止”，完成后点击“确定”，如图3所示。图3 设置IP筛选器操作示意图第四步，在“创建IP安全

5、策略”中，设置安全策略名称为“阻止ping”，将第二步和第三步设置的IP筛选器列表和筛选器操作选择进来，完成后点击确定。如图4所示。图4 创建“阻止ping”策略第五步，将设置的策略指派，测试效果（自己验证ping的效果）。2、配置“端口策略”阻止139端口（1）由于NetBIOS网络协议的使用，Windows Server2008 R2默认开放TCP的139端口，用于访问网络上计算机共享资源的访问。但139端口的开放，有时候会造成安全隐患，例如使用Telnet，可以匿名登录服务器，从139端口建立连接，如图5所示。接下来可以使用一些工具软件来破解管理员的密码。图5 用Telnet利用139端

6、口建立连接（2）在Windows Server 2008 R2上创建IP安全策略，命名为“封闭139端口”。（3）创建“IP筛选器列表”，命名为“139”，分别设置源IP地址为“任意IP地址”和目的IP地址为“我的IP地址”，协议为TCP，端口号为139，如图6所示。图6 设置IP筛选器封闭139端口示意图（4）设置“筛选器操作”，可以选取1中创建的“no”策略，完成后点击“关闭”，最后点击“确定”按钮，退出设置。（5）将设置的策略指派，验证Telnet不再能够建立连接。如图7所示。图7 telnet连接失败示意图3、配置“加密数据策略”对ping的数据包进行加密（1）在Windows Ser

7、ver 2008 R2上创建创建IP安全策略，命名为“加密ping”，然后在“IP筛选器列表”中使用1中创建的About Ping策略。（2）在“筛选器操作”中“添加”命名为“协商ping”的策略，选择“协商安全”- “不允许不安全的通信” -“完整性和加密”，如图8所示。图8 设置协商安全示意图（3）设置“身份验证方法”，选取“使用此字符串保护密钥交换（预共享密钥）”作为验证时的密钥，密钥可以自己给定。如图9所示。图9 设置身份验证方法及预设共享密钥（4）使用抓包器捕捉网络数据包。这里可以使用微软的Network Monitor：Network Monitor是一个由Microsoft免费提

8、供的具有分析复杂网络通讯能力的工具，它可以通过Microsoft Download下载。该工具是一个具有“捕捉（Capturing）”Windows Server 2008计算机所接收或发送封包的每一个字节的通信协议分析工具。有经验的管理员可以使用Network Monitor针对“网络性能问题”、“TCP连接问题”、“IP通信协议堆栈配置问题”、“因设置网络过滤器所导致的问题”、“以文字为基础的通信协议，例如，HTTP、POP3、SMTP等在应用层所遇到的问题” 等等。Network Monitor通过识别在网络上的不同通信协议，对大量捕捉到的信息执行解析，甚至可以解释大部分应用层的通信协议

9、。可以在 Monitor。这里下载的是3.4的版本。（5）安装成功后，启用“网络监视器”进行ping数据包的捕捉，通过分析没有加密的ping数据包可以看到里面的数据，如图10所示。图10 没有加密的ping数据包示意图（6）在一台主机XP上也设置IPSec。注意：要求验证的两台主机必须使用相同的协议，即两台主机必须设置的一样，否则验证不会成功。（7）再次从XP主机ping主机Windows Server 2008，通过捕捉数据包ping包，打开后是乱码，不具备可读性。如图11所示。图11 IPSec加密ping数据包后的效果示意图如果主机之间均是Windows 2008、Vista、7以上的系

10、统，IPSec的设置可以通过“高级安全Windows防火墙”中的“连接安全规则”来完成。这里以设置加密的ICMP规则为例，来说明设置步骤。假定使用的是Windows 2008 R2和Win 7，注意不要关闭Windows防火墙，否则连接安全规则没有作用。第一步，启用两台计算机中的“高级安全Windows防火墙”中的“入站规则”中的“文件和打印机共享（回显请求 -ICMPv4 -In）”并测试连通性（双方可以ping通，如果没有启用将不能ping通）。设置效果如图12所示。图12 开启“文件和打印机共享”示意图第二步，在Windows Server 2008 R2上，在“高级安全Windows防

11、火墙”中，单击“连接安全规则”-“新建规则”-使用默认“隔离”。如图13所示。图13 新建规则第三步，在要求设置画面中选择“入站和出站连接要求身份验证”，即第三项，表示入、出站都必须采用IPSec，如图14所示。图14 设置验证要求第四步，设置身份验证方法，这里选择“高级”，同时“自定义”，进入如图15所示画面。单击下面的“添加”，设置“预共享密钥”，如图16所示。图15 设置身份验证方法图16 设置预共享密钥第五步，单击“确定”，回到“自定义高级身份验证方法”画面，然后单击“下一步”，选择“何时应用该规则”，最后给规则命名，单击“确定”便完成了在服务器上的设置。第六步，在Win 7上也进行同样的设置，否则两台主机之间将不能连通。设置完成后可以测试两台主机之间的连通性。第七步，可以通过“监视”-“安全关联”-“主模式”| “快速模式”来查看主模式SA或者快速模式SA的相关数据。如图17所示。图17 查看主模式或快速模式最后，可以设置IPSec的属性（右击“本地计算机上的高级安全Windows防火墙”-属性-IPSec设置标签下），使新建的“连接安全规则”都使用该默认值。如图18所示。图18 设置IPSec属性默认值6 实验总结谈谈如何使用IPSec加强网络安全性。